Defaults.Exposed

Defaults.Exposed › প্রতিবেদন

SPF প্রকাশ করা যথেষ্ট নয়: ইমেইল নিরাপত্তার মিথ্যা অনুভূতি (২০২৬)

প্রকাশিত 2026-06-29

2026-06-29 পর্যন্ত পরিসংখ্যান · পদ্ধতি v7। 261 মিলিয়ন গ্রেড করা ডোমেইন জুড়ে ডোমেইন প্রতি চেক যোগ করা সমষ্টিগত সেন্সাস ডেটা। “প্রয়োগকারী” = quarantine বা reject-এর DMARC নীতি। দেখুন আমরা কীভাবে গ্রেড করি

DMARC স্তম্ভের অংশ — সমগ্র সেন্সাস জুড়ে পরিমাপ করা DMARC গ্রহণ, পরিপক্কতা এবং লিগ টেবিল।

ইমেইল নিরাপত্তায় সবচেয়ে বিপজ্জনক জায়গা হলো সুরক্ষিত অনুভব করা। 32.4% ডোমেইন SPF প্রকাশ করে কিন্তু আদৌ কোনো DMARC নেই — এবং 45.7%-এ SPF প্রয়োগ দ্বারা সমর্থিত নয়। এই মালিকরা কিছু করেছেন, “SPF: কনফিগার করা” দেখেছেন, এবং থেমেছেন। কিন্তু SPF একা কাউকে আপনার দৃশ্যমান “From” ঠিকানা জাল করা থেকে থামায় না — শুধুমাত্র প্রয়োগকৃত DMARC থামায়। 2026-06-29 পর্যন্ত, মাত্র 3.87% ডোমেইন সম্পূর্ণ ইমেইল-সুরক্ষিত।

“কনফিগার করা” এবং “সুরক্ষিত”-এর মধ্যে ফাঁক

SPF পরীক্ষা করে কোন সার্ভারগুলো আপনার জন্য পাঠাতে পারে। এটি একজন ব্যক্তি আসলে দেখা “From” ঠিকানা পরিচালনা করে না, এবং এটি রিসিভারদের ব্যর্থতায় কী করতে হবে তা বলে না। এটাই DMARC-এর কাজ। তাই প্রয়োগকারী DMARC নীতি ছাড়া SPF হলো দরজার পেছনে কোনো দরজা নেই এমন একটি তালা:

অবস্থাডোমেইনের অংশআসলে সুরক্ষিত?
SPF প্রকাশিত, আদৌ কোনো DMARC রেকর্ড নেই32.4%না
SPF প্রকাশিত, DMARC প্রয়োগ করছে না45.7%না
সম্পূর্ণ ইমেইল-সুরক্ষিত (SPF + DKIM + প্রয়োগকৃত DMARC)3.87%হ্যাঁ

সেই মাঝের সারিটি আবার পড়ুন: 45.7% সমস্ত ডোমেইনে SPF আছে কিন্তু কোনো প্রয়োগ নেই — মিথ্যা-নিরাপত্তা অঞ্চলে বসা ইন্টারনেটের প্রায়-সংখ্যাগরিষ্ঠতা। তারা, একজন আক্রমণকারীর উদ্দেশ্যে, জাল করার যোগ্য — এবং সামগ্রিকভাবে 89.4% ডোমেইন।

সবচেয়ে খারাপ সংস্করণ: মেইল ভেতরে, দরজায় কোনো পাহারা নেই

এটি ডোমেইনগুলোর জন্য আরও তীব্র যারা আসলে ইমেইল পায়। 42.7% ডোমেইন মেইল গ্রহণ করে (তাদের MX রেকর্ড আছে) কিন্তু আদৌ কোনো কার্যকারি ইমেইল প্রমাণীকরণ নেই — কোনো SPF প্রয়োগ নেই, কোনো DMARC নেই। এগুলো লাইভ, ব্যবহার-করা ডোমেইন যার মালিকরা প্রতিদিন পাঠান এবং পান, সম্পূর্ণরূপে ছদ্মবেশ ধারণযোগ্য। কার্যকলাপ ঠিক তাই যা তাদের চালান জালিয়াতি এবং সরবরাহকারী কেলেঙ্কারির জন্য আকর্ষণীয় লক্ষ্য করে তোলে।

কেন “আমাদের SPF আছে” ফাঁদ হয়ে উঠেছে

SPF পুরনো, সহজ, এবং বেশিরভাগ সেটআপ গাইড প্রথম যে জিনিসটি উল্লেখ করে — তাই এটিই চেক করা বাক্স। DMARC পরে এসেছে, আরও উন্নত শোনায়, এবং প্রয়োগের দিকে একটি ইচ্ছাকৃত অগ্রগতি প্রয়োজন। ফলে একটি বিশাল জনগোষ্ঠী যারা ধাপ এক গ্রহণ করেছে এবং ধাপ দুটি কখনো নেয়নি, তারপর বিশ্বাস করে কাজটি সম্পন্ন হয়েছে। সেন্সাসটি প্রথমবারের মতো সেই ভুল ধারণার স্কেল দৃশ্যমান করে: 32.4% SPF সহ কিন্তু আদৌ কোনো DMARC নেই।

আসলে কীভাবে সুরক্ষিত হবেন

  1. আপনার SPF রাখুন, কিন্তু একা এর উপর নির্ভর করবেন না। (SPF ঠিক করুন।)
  2. DKIM যোগ করুন যাতে আপনার মেইল স্বাক্ষরিত হয়। (DKIM ঠিক করুন।)
  3. DMARC প্রকাশ করুন এবং এটিকে প্রয়োগে নিয়ে যান (p=nonequarantinereject)। এই ধাপটি “কনফিগার করা”কে “সুরক্ষিত”-এ রূপান্তরিত করে। (DMARC ঠিক করুন।)

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী

ইমেইল স্পুফিং থামাতে SPF কি যথেষ্ট? না। SPF দৃশ্যমান “From” ঠিকানা রক্ষা করে না বা রিসিভারদের জালিয়াতি প্রত্যাখ্যান করতে বলে না — শুধুমাত্র একটি প্রয়োগকারী DMARC নীতি করে। 45.7% ডোমেইনে SPF আছে সেই প্রয়োগ ছাড়া।

আমার একটি SPF রেকর্ড আছে — আমি কি সুরক্ষিত? একা নয়। আপনি সুরক্ষিত যখন SPF এবং DKIM উভয়ই আছে এবং DMARC quarantine বা reject-এ সেট করা আছে। মাত্র 3.87% ডোমেইন তিনটিতেই পৌঁছায়।

কত অংশ ডোমেইন এখনও ছদ্মবেশ ধারণ করা যায়? 89.4% — কারণ তারা প্রয়োগকারী DMARC-এর অভাব রাখে, তারা SPF প্রকাশ করুক বা না করুক।

মেইল (MX) থাকা প্রমাণীকরণ ছাড়া কেন বিশেষভাবে ঝুঁকিপূর্ণ? 42.7% ডোমেইন সক্রিয়ভাবে মেইল পাঠায় এবং পায় কিন্তু আদৌ কোনো কার্যকারি প্রমাণীকরণ নেই — লাইভ, বিশ্বস্ত ডোমেইন যা যে কেউ জাল করতে পারে, যা ঠিক জালিয়াতরা খোঁজে।

আপনি আসলে সুরক্ষিত কিনা পরীক্ষা করুন

“আমাদের SPF আছে” সুরক্ষিত হওয়ার মতো নয়। আপনার ডোমেইন বিনামূল্যে এবং ব্যক্তিগতভাবে পরীক্ষা করুন — দেখুন আপনার ইমেইল এখনও জাল করা যায় কিনা।

আপনার ডোমেইন পরীক্ষা করুন → · DMARC ঠিক করুন → · ডোমেইন এক্সপোজার স্কোর → · p=none সুরক্ষা নয় → · শুধুমাত্র সমষ্টিগত ডেটা। ডেটা EU-তে সংরক্ষিত এবং প্রক্রিয়াজাত।